마이터 어택

개요

마이터 어택(MITRE ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge)은 실제 사이버 공격에서 관찰된 공격자의 전술(Tactic)과 기술(Technique)을 체계적으로 분류한 업계 표준 프레임워크입니다. 전술은 공격자의 목표(예: 초기 접근, 실행, 지속성 확보, 권한 상승 등)를 나타내고, 기술은 해당 목표를 달성하기 위해 사용하는 구체적인 방법을 나타냅니다.

소나 웹 콘솔의 분석 > 마이터 어택 메뉴에서는 탐지된 이벤트를 마이터 어택 매트릭스 형태로 조회할 수 있습니다. 매트릭스는 전술을 열(column)로, 각 전술에 속한 기술을 카드 형태로 배치합니다. 각 기술 카드에는 해당 기술과 관련된 이벤트가 발생한 호스트 수가 표시되며, 호스트 수에 따라 카드 색상이 위험도별로 구분됩니다. 특정 기술 카드를 클릭하면 해당 기술의 상세 정보를 확인할 수 있습니다.

매트릭스에 표시되는 이벤트는 실시간 탐지배치 탐지 시나리오에서 발생합니다. 각 탐지 시나리오에 마이터 어택 전술과 기술을 매핑할 수 있으며, 시나리오가 이벤트를 탐지하면 해당 이벤트에 전술·기술 정보가 자동으로 태깅됩니다. 매트릭스는 이렇게 태깅된 이벤트를 집계하여 전술·기술별 탐지 현황을 시각화합니다.

이 메뉴는 사용자 이상의 계정으로 이용할 수 있습니다.

MITRE ATT&CK 매트릭스

매트릭스 조회

분석 > 마이터 어택에서 MITRE ATT&CK 매트릭스를 조회할 수 있습니다. 매트릭스는 60초마다 자동으로 갱신됩니다.

도구 모음

매트릭스 상단에는 조회 조건을 설정할 수 있는 도구 모음이 제공됩니다.

도구 모음

  • 조회 기간: 이벤트 조회 기간을 선택합니다. 기본값은 24시간이며, 1시간, 1일, 7일, 30일 중에서 선택할 수 있습니다. 선택한 기간에 따라 현재 시점으로부터 해당 시간만큼 이전까지의 이벤트를 조회합니다. 조회 기간 우측에 실제 적용되는 시간 범위가 표시됩니다.
  • 검색 유형: 필터에 입력할 키워드 유형을 IP/CIDR 또는 호스트명 중에서 선택합니다. 기본값은 IP/CIDR입니다.
  • 검색창: 검색 유형에 맞는 키워드를 입력하고 Enter 키를 누르면 필터가 추가됩니다. 띄어쓰기로 구분하여 여러 키워드를 한 번에 입력할 수 있습니다. 입력한 키워드 형식이 올바르지 않으면 오류 메시지가 표시됩니다.

도구 모음 우측에는 다음 버튼이 제공됩니다:

  • 화면 맞춤 화면 맞춤: 전체 화면 모드에서만 표시됩니다. 매트릭스 열 너비를 화면 너비에 맞춰 자동으로 조정합니다. 다시 클릭하면 원래 너비로 돌아갑니다.
  • 카드 숨기기 카드 숨기기/표시: 이벤트가 발생하지 않은 기술 카드의 표시 여부를 전환합니다. 활성화하면 호스트 수가 0인 기술 카드가 숨겨져 탐지된 기술만 표시됩니다.
  • 전체 화면 전체 화면: 매트릭스를 전체 화면 모드로 전환합니다. 다시 클릭하면 원래 크기로 돌아갑니다.
  • 새로 고침 새로 고침: 매트릭스를 최신 정보로 갱신합니다.
필터

도구 모음에서 키워드를 입력하면 도구 모음 아래에 필터 영역이 표시됩니다. 추가된 필터는 태그 형태로 나열되며, IP 주소와 호스트명을 혼합하여 필터링할 수 있습니다.

필터 영역

  • 특정 필터를 제거하려면 해당 필터 태그를 클릭하세요.
  • 모든 필터를 한 번에 제거하려면 전체 삭제 버튼을 클릭하세요.

필터가 적용되면 해당 IP 주소 또는 호스트명과 관련된 이벤트만 매트릭스에 반영됩니다.

전술 카드

매트릭스의 각 열 상단에는 전술(Tactic) 카드가 표시됩니다. 전술 카드에는 전술 이름과 해당 전술에 속한 이벤트가 탐지된 호스트 수가 표시됩니다.

전술 카드와 기술 카드

기술 카드

각 전술 카드 아래에는 해당 전술에 속한 기술(Technique) 카드가 나열됩니다. 기술 카드에는 기술 이름과 이벤트가 탐지된 호스트 수가 표시됩니다.

기술 카드 목록

기술 카드의 배경색은 탐지된 호스트 수에 따라 다음과 같이 위험도를 나타냅니다:

호스트 수위험도색상
1~3낮음노랑
4~9보통주황
10 이상높음빨강

호스트 수가 0이면 배경색이 적용되지 않습니다. 새로운 이벤트가 탐지되면 해당 기술 카드가 깜빡이는 효과로 변화를 알려줍니다.

기술 상세 조회

매트릭스에서 기술 카드를 클릭하면 화면 오른쪽에 상세 정보 패널이 열립니다.

기술 상세 정보 패널

상세 정보 패널 상단에는 기술의 MITRE ID와 이름이 표시됩니다. 패널에서 확인할 수 있는 항목은 다음과 같습니다:

  • 조회 기간: 매트릭스에서 설정한 조회 기간이 표시됩니다.
  • 발생 통계: 해당 기술과 관련된 탐지 호스트 수와 이벤트 건수가 표시됩니다.
  • 발생 추이: 조회 기간 내 이벤트 발생 추이를 막대 차트로 보여줍니다. 차트의 X축은 시간, Y축은 이벤트 건수입니다. 가장 많은 이벤트가 발생한 시간대의 막대는 빨간색으로 강조됩니다. 조회 기간에 따라 차트의 시간 단위가 자동으로 조정됩니다(1일 이하: 1시간, 7일 이하: 1일, 30일 이하: 1일, 30일 초과: 1주).
  • 엔드포인트: 해당 기술과 관련된 이벤트가 탐지된 엔드포인트 목록을 테이블로 보여줍니다. 최대 15건까지 표시됩니다.
  • 설명: 마이터 어택에서 제공하는 기술 설명입니다. 기본적으로 3줄까지 표시되며, 더보기를 클릭하면 전체 내용을 확인할 수 있습니다. 접기를 클릭하면 다시 축소됩니다.
  • 전술: 해당 기술이 속한 전술 목록입니다. 하나의 기술이 여러 전술에 속할 수 있습니다. 전술 이름을 클릭하면 마이터 어택 공식 사이트의 해당 전술 페이지가 새 창에서 열립니다.
  • 하위기술: 해당 기술의 하위 기술(Sub-technique) 목록입니다. 하위 기술이 있는 경우에만 표시됩니다. 하위 기술 이름을 클릭하면
  • URL: 마이터 어택 공식 사이트에서 해당 기술의 상세 정보를 확인할 수 있는 링크입니다.

상세 정보 패널을 닫으려면 패널 좌측 상단의 닫기 버튼을 클릭하거나 Esc 키를 누르세요.

엔드포인트 테이블

엔드포인트 테이블에서 확인할 수 있는 항목은 다음과 같습니다:

항목설명
IP엔드포인트의 IP 주소
호스트명엔드포인트의 호스트명. 호스트명이 없으면 -으로 표시됩니다.
시간해당 엔드포인트에서 마지막으로 이벤트가 탐지된 시각
공격 전술해당 엔드포인트에서 탐지된 고유 전술 수
탐지 건수해당 엔드포인트에서 탐지된 총 이벤트 수

엔드포인트가 15건을 초과하는 경우 테이블 하단에 모두 보기 버튼이 표시됩니다. 이 버튼을 클릭하면 전체 엔드포인트 목록을 조회하는 쿼리가 새 창에서 실행됩니다.

IP 주소 액션 메뉴

엔드포인트 테이블에서 IP 주소를 클릭하면 해당 IP 주소에 대해 수행할 수 있는 액션 메뉴가 표시됩니다.

IP 주소 액션 메뉴

  • 자산 조회: 해당 IP 주소의 자산 IP 상세 페이지로 이동합니다. 자산 정보가 등록된 경우에만 표시됩니다.
  • 티켓 검색: 해당 IP 주소와 관련된 티켓을 검색하는 화면을 새 창에서 엽니다.
  • 이벤트 검색: 해당 IP 주소와 관련된 이벤트를 조회하는 쿼리를 새 창에서 실행합니다.
  • 로그 검색: 해당 IP 주소와 관련된 원본 로그를 조회하는 쿼리를 새 창에서 실행합니다.